Vyjednávání výměny klíčů po Internetu (IKE) v hlavním režimu vytváří zabezpečený kanál, známý jako přidružení zabezpečení Internetu a přidružení zabezpečení protokolu správy klíčů (ISAKMP), mezi dvěma počítači. Přidružení zabezpečení ISAKMP se používá k ochraně následných výměn klíčů mezi rovnocennými počítači známých jako vyjednávání v rychlém režimu. Pro vytvoření zabezpečeného kanálu určuje vyjednávání v hlavním režimu soubor kryptografických ochranných sad, vyměňuje klíčovací materiál k vytvoření sdíleného tajného klíče a ověřuje identity počítače.
Sledování přidružení zabezpečení v hlavním režimu může poskytovat informace o druhých stranách aktuálně připojených k tomuto počítači, když bylo přidružení zabezpečení vytvořeno, o ochranné sadě použité k vytvoření přidružení zabezpečení a další informace.
Obecné filtry
Obecné filtry jsou filtry IP nakonfigurované tak, aby používaly libovolné možnosti IP adresy buď jako zdrojovou nebo cílovou adresu. Protokol IPsec umožňuje při konfiguraci filtrů používat různá klíčová slova, jako například IP adresa tohoto počítače, Server DNS, Server DHCP, Servery WINS a Výchozí brána. Pokud použijete klíčová slova, zobrazí obecné filtry tato klíčová slova v modulu snap-in Sledování zabezpečení protokolu IP. Specifické filtry se odvozují převodem klíčových slov na IP adresy.
Přidávání, odebírání a třídění sloupců
Tyto sloupce můžete v seznamu výsledků přidávat, odebírat, přeuspořádávat a řadit:
- Název.
- Zdroj: IP adresa zdroje paketu
- Cíl: IP adresa cíle paketu
- Zásada IKE: Název zásady IKE přidružené k tomuto obecnému filtru, nikoli název zásady IPsec, kterou jste vytvořili pomocí modulu snap-in Zásady protokolu IPsec. V položce Zásada IKE lze zobrazit podrobnosti zásady, například jaká sada kryptografických algoritmů byla použita.
- Metody ověřování: Seznam všech metod ověřování dostupných pro filtr, v pořadí podle priority
- Typ připojení: Typ připojení, pro který je filtr použitý - místní síť (LAN), vzdálený přístup nebo všechny typy síťového připojení
Specifické filtry
Specifické filtry jsou expandovány z obecných filtrů pomocí IP adres zdrojového nebo cílového počítače pro aktuální připojení. Jestliže máte například filtr, který používal volbu IP adresa tohoto počítače jako zdrojovou adresu a volbu Server DHCP jako cílovou adresu, pak je při vytvoření připojení pomocí tohoto filtru automaticky vytvořen filtr obsahující IP adresu vašeho počítače a IP adresu serveru DHCP, který tento počítač používá.
Poznámka | |
Modul snap-in Sledování zabezpečení protokolu IP může také překládat IP adresy na názvy DNS pro složku specifických filtrů ve složce rychlého režimu, ale ne ve složce hlavního režimu. |
Přidávání, odebírání a řazení sloupců
Tyto sloupce můžete v seznamu výsledků přidávat, odebírat, přeuspořádávat a řadit:
- Název.
- Zdroj: IP adresa zdroje paketu
- Cíl: IP adresa cíle paketu
- Směr: Informace, zda je filtr vstupní (příchozí) nebo výstupní (odchozí)
- Zásada IKE: Název zásady IKE, nikoli název zásady IPsec, kterou jste vytvořili pomocí modulu snap-in Zásady protokolu IPsec. V položce Zásada IKE lze zobrazit podrobnosti zásady, například jaká sada kryptografických algoritmů byla použita.
- Metody ověřování: Seznam všech metod ověřování dostupných pro filtr, v pořadí podle priority
- Váha: Priorita, kterou služba IPsec filtru uděluje. Váha je odvozena z řady faktorů. Další informace o vahách filtrů naleznete na adrese
https://go.microsoft.com/fwlink/?LinkId=62212 (stránka může být v angličtině) .
Poznámka Vlastnost Váha je v počítačích se systémem Windows Vista®, Windows Server® 2008 nebo novější verzí Windows vždy nastavena na hodnotu 0.
Zásady IKE
Zásada IKE se týká metod integrity nebo šifrování, které mohou dva rovnocenné počítače vyjednat pro výměnu klíčů v hlavním režimu.
Statistiky
Tato tabulka zobrazuje statistiky dostupné v zobrazení Statistiky v hlavním režimu:
Poznámka | |
Některé z těchto statistik nejsou k dispozici v počítačích se systémem Windows Vista, Windows Server 2008 nebo novější verzí Windows. |
Statistika IKE | Popis |
---|---|
Aktivní získání | Získání je žádost ovladače IPsec o provedení úkolu IKE. Statistika aktivního získání zahrnuje nezpracovaný požadavek a řadu žádostí ve frontě, pokud existují. Obvykle je počet aktivních získání 1. Za velkého načítání je počet aktivních získání 1 a počet žádostí, které jsou řazeny IKE do fronty ke zpracování, se zvyšuje. |
Aktivní přijetí | Počet přijatých zpráv IKE, které jsou řazeny do fronty ke zpracování. |
Chyby získání | Kolikrát se nezdařilo získání. |
Chyby přijetí | Kolikrát se nezdařila funkce zásuvek systému Windows WSARecvFrom() během přijímání zpráv IKE. |
Chyby odeslání | Kolikrát se nezdařila funkce zásuvek systému Windows WSASendTo() během odesílání zpráv IKE. |
Velikost haldy pro čtení | Počet položek haldy získání, která ukládá aktivní získání. Tento počet se za velkého načítání zvyšuje a pak se postupně časem snižuje, jak je halda pro čtení vyprazdňována. |
Velikost haldy pro příjem | Počet položek v přijímacích vyrovnávacích pamětech IKE pro příchozí zprávy IKE. |
Chyby ověření | Celkový počet chyb ověření identity (Kerberos, certifikát a předsdílený klíč), které se vyskytly během vyjednávání v hlavním režimu. Jestliže máte potíže s bezpečnou komunikací, zkuste komunikaci a sledujte tuto statistiku, zda se tento počet zvyšuje. Pokud ano, zkontrolujte nastavení ověření, a to konfiguraci buď metody nesouhlasícího ověření nebo metody nesprávného ověření (například, použití předsdílených klíčů, které nesouhlasí). |
Chyby vyjednávání | Celkový počet chyb vyjednávání, které se vyskytly během vyjednávání v hlavním režimu nebo rychlém režimu. Jestliže máte potíže s bezpečnou komunikací, zkuste komunikaci a sledujte tuto statistiku, zda se tento počet zvyšuje. Pokud ano, zkontrolujte nastavení metody ověření a zabezpečení, a to konfiguraci buď metody nesouhlasícího ověření nebo metody nesprávného ověření (například, použití předsdílených klíčů, které nesouhlasí) nebo metody nebo nastavení nesouhlasícího zabezpečení. |
Přijaty neplatné cookies | Cookie je hodnota obsažená v přijaté zprávě IKE, kterou IKE používá k zjištění stavu aktivního hlavního režimu. Cookie v přijaté zprávě IKE, který neodpovídá aktivnímu hlavnímu režimu, je neplatný. |
Celkový počet získání | Celkový počet žádostí k provedení úkolů odeslaných IKE do ovladače IPsec. |
SPI celkového počtu získání | Celkový počet žádostí odeslaných IKE do ovladače IPsec k získání jedinečného indexu parametrů zabezpečení (SPI). |
Přidání klíčů | Počet odchozích přidružení zabezpečení v rychlém režimu přidaných IKE do ovladače IPsec. |
Aktualizace klíčů | Počet příchozích přidružení zabezpečení v rychlém režimu přidaných IKE do ovladače IPsec. |
Chyby SPI získání | Počet neúspěšných žádostí odeslaných IKE do ovladače IPsec k získání jedinečného indexu parametrů zabezpečení (SPI). |
Chyby přidání klíčů | Počet neúspěšných žádostí pro přidání odchozích přidružení zabezpečení v rychlém režimu odeslaných IKE do ovladače IPsec. |
Chyby aktualizace klíčů | Počet neúspěšných žádostí pro přidání příchozích přidružení zabezpečení v rychlém režimu odeslaných IKE do ovladače IPsec. |
Velikost seznamu ISADB | Počet položek stavu v hlavním režimu, včetně vyjednaných hlavních režimů, probíhajících hlavních režimů a hlavních režimů, které se nezdařily a nebyly vymazány. |
Velikost seznamu připojení | Počet položek stavu v rychlém režimu. |
Hlavní režim IKE | Celkový počet úspěšných přidružení zabezpečení vytvořených během vyjednávání v hlavním režimu. |
Rychlý režim IKE | Celkový počet úspěšných přidružení zabezpečení vytvořených během vyjednávání v rychlém režimu. Protože se obvykle vyskytuje více přidružení zabezpečení v rychlém režimu vytvořených pro každé přidružení zabezpečení v hlavním režimu, tento počet nemusí nutně souhlasit s počtem v hlavním režimu. |
Měkká přidružení | Celkový počet vyjednávání, která mají za následek použití prostého textu (také známá jako měkká přidružení zabezpečení). Tento počet typicky vyjadřuje počet přidružení vytvořených s počítači, které nereagují na pokusy vyjednávání v hlavním režimu. To může zahrnovat jak počítače nekompatibilní s protokolem IPsec, tak počítače, které jsou s protokolem IPsec kompatibilní, ale nemají zásadu IPsec k vyjednávání zabezpečení s touto druhou stranou IPsec. I když měkká přidružení zabezpečení nejsou výsledkem vyjednávání v hlavním a rychlém režimu, jsou stále zpracovávána jako přidružení zabezpečení v rychlém režimu. |
Přijaty neplatné pakety | Počet přijatých zpráv IKE, které jsou neplatné, včetně zpráv IKE s neplatnými poli záhlaví, neplatnými délkami datových částí a včetně nesprávných hodnot pro cookie odpovídajícího (když by měla být nastavena na 0). Neplatné zprávy IKE jsou obvykle způsobeny zastaralými, opakovaně přenášenými zprávami IKE nebo nesouhlasícím předsdíleným klíčem mezi stranami IPsec. |
Poznámka | |
Některé z těchto statistik lze použít k rozpoznání pokusů o napadnutí sítě. |
Přidružení zabezpečení
Toto je zobrazení aktivních přidružení zabezpečení s tímto počítačem. Přidružení zabezpečení je kombinace vyjednaného klíče, protokolu zabezpečení a SPI, které společně definují zabezpečení použité k ochraně komunikace od odesílatele k příjemci. Proto vyhledáním přidružení zabezpečení pro tento počítač můžete určit, které počítače mají připojení k tomuto počítači, jaký typ integrity nebo šifrování dat je používán pro toto připojení a další informace.
Tyto informace mohou být užitečné, když testujete zásady IPsec a odstraňujete problémy týkající se přístupu.
Přidávání, odebírání a řazení sloupců
Tyto sloupce můžete v seznamu výsledků přidávat, odebírat, přeuspořádávat a řadit:
- Tento počítač: IP adresa místního počítače
- ID tohoto počítače: Název DNS místního počítače
- Druhá strana: IP adresa vzdáleného počítače (druhé strany)
- ID druhé strany: Název DNS vzdáleného počítače (druhé strany)
- Ověřování: Metoda ověření použitá k vytvoření přidružení zabezpečení
- Šifrování: Metoda šifrování, kterou přidružení zabezpečení používá pro výměny klíčů v rychlém režimu
- Integrita: Metoda integrity dat, kterou přidružení zabezpečení používá pro výměny klíčů v rychlém režimu
- Diffie-Hellman: Skupina Diffie-Hellman použitá k vytvoření přidružení zabezpečení hlavního režimu